在Linux上配置Swagger的权限控制

Swagger是一个流行的API文档工具，但在生产环境中暴露Swagger UI可能会带来安全风险。以下是在Linux环境中配置Swagger权限控制的几种方法：

1. 基于Spring Security的权限控制（适用于Java应用）

@Configuration
public class SwaggerSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .requestMatcher(EndpointRequest.toAnyEndpoint())
            .authorizeRequests()
            .antMatchers("/swagger-ui/**", "/v3/api-docs/**")
            .hasRole("ADMIN")  // 只允许ADMIN角色访问
            .and()
            .httpBasic();
    }
}

2. 使用Nginx反向代理控制访问

在Nginx配置中添加访问限制：

location /swagger-ui/ {
    # 只允许特定IP访问
    allow 192.168.1.100;
    allow 10.0.0.1;
    deny all;

    # 或者要求基本认证
    auth_basic "Swagger Access";
    auth_basic_user_file /etc/nginx/.htpasswd;

    proxy_pass http://localhost:8080;
}

创建密码文件：

sudo htpasswd -c /etc/nginx/.htpasswd username

3. 环境变量控制（适用于Node.js等应用）

// 只在开发环境启用Swagger
if (process.env.NODE_ENV === 'development') {
    const swaggerUi = require('swagger-ui-express');
    const swaggerDocument = require('./swagger.json');
    app.use('/api-docs', swaggerUi.serve, swaggerUi.setup(swaggerDocument));
}

4. 使用Spring Profile限制（Java Spring Boot）

@Profile("!prod")  // 不在生产环境启用
@Configuration
@EnableSwagger2
public class SwaggerConfig {
    // Swagger配置
}

5. 完全禁用Swagger UI

如果不需要Swagger UI，可以在生产环境中完全禁用：

对于Spring Boot应用：

# application-prod.properties
springfox.documentation.enabled=false

6. 使用API网关控制（如Kong, Apigee）

在API网关层面添加访问控制策略，只允许特定用户或IP访问Swagger端点。

最佳实践建议

1. 生产环境限制：在生产环境中，最好完全禁用Swagger UI或限制为内部网络访问
2. 认证机制：至少使用基本认证
3. HTTPS：确保所有Swagger访问都通过HTTPS
4. 审计日志：记录所有对Swagger端点的访问
5. 定期审查：定期审查谁有权限访问API文档

根据您的具体技术栈和安全需求，可以选择上述一种或多种方法组合来实现Swagger的权限控制。